一：html注入 get HTML注入，就是当用户进行输入时，服务器没有对用户输入的数据进行过滤或转义，导致所有输入均被返回前端，网页解析器会将这些数据当作html代码进行解析,这就导致一些恶意代码会被正常执行。 首先进行简单测试，输入1 1 发现正常回显 查看源码进行分析，发现没有做任何处理与过滤 那接下来我们直接试一下xss,输入<script>alert(111)</scri

一：html注入 get HTML注入，就是当用户进行输入时，服务器没有对用户输入的数据进行过滤或转义，导致所有输入均被返回前端，网页解析器会将这些数据当作html代码进行解析,这就导致一些恶意代码会被正常执行。 首先进行简单测试，输入1 1 发现正常回显 查看源码进行分析，发现没有做任何处理与过滤 那接下来我们直接试一下xss,输入<script>alert(111)</scri

1. 断开的身份验证 - 验证码绕过 Broken Auth. - CAPTCHA Bypassing 打开burp抓包在页面上输入账号为bee 密码随便输，输入验证码开始抓包拦截， 发到重放器进行重放，发现只是一直提示密码错误，那证明只要不刷新页面验证码应该就不会变，那就可以发到攻击模块使用爆破来拿到正确的密码，从而实现验证码绕过 最终拿到正确的密码 2. 份